Nuove patch per Office e Windows

Redmond (USA) – I bollettini di sicurezza mensili pubblicati questa settimana da Microsoft sono tre, il più importante dei quali risolve una seria vulnerabilità di Publisher. Ancora niente patch, invece, per la grave falla scoperta all’inizio del mese in Word 2000.

La vulnerabilità di Publisher , descritta nel bollettino MS06-054 , interessa le edizioni 2000, 2002 e 2003 dell’applicazione: è stata considerata critica nel primo caso e importante negli altri due. Il problema è causato dal fatto che Publisher non verifica correttamente i dati quando elabora i contenuti di un file “.pub”: ciò potrebbe consentire ad un malintenzionato di creare un file “.pub” ad hoc che, una volta aperto, corrompe la memoria di sistema ed esegue del codice maligno. Se un utente è connesso con privilegi di amministrazione, un cracker che sfrutti questa vulnerabilità può assumere il controllo completo del sistema interessato.

“Questo tipo di falle sembrano guadagnare popolarità presso i creatori di malware”, ha commentato la società eEye Security in un advisory . “Sebbene questo tipo di attacchi possano essere mitigati educando gli utenti alla sicurezza e, in alcuni casi, filtrando le email lato server, tutti noi sfortunatamente sappiamo che nemmeno tutti i filtri e l’educazione di questo mondo possono proteggere da tutti gli attacchi”.

La seconda falla di sicurezza, corretta con il bollettino MS06-052 , riguarda invece una debolezza nel protocollo di comunicazione Pragmatic General Multicast (PGM) di Windows XP. Classificata importante , la falla può essere sfruttata da remoto attraverso l’invio di un messaggio multicast appositamente modificato: un tale attacco potrebbe consentire ad un cracker di eseguire del codice sul sistema remoto e prenderne il controllo. L’exploiting della vulnerabilità è tuttavia possibile solo se nel sistema è presente il Microsoft Message Queuing Services (MSMQ).

“Delle tre vulnerabilità annunciate oggi, la vulnerabilità PGM emerge per il fatto che può essere sfruttata da remoto senza l’interazione dell’utente”, ha affermato Monty Ijzerman, senior manager del Global Threat Group di McAfee Avert Labs . “Comunque solo i sistemi Windows XP che hanno installato il Microsoft Message Queuing Service (che non fa parte della configurazione di default) sono vulnerabili”.

L’ultimo bollettino, l’ MS06-053 , tratta una vulnerabilità nel servizio di indicizzazione di Windows che potrebbe consentire ad un utente remoto di accedere alle informazioni di un altro utente: perché ciò avvenga, il servizio di indicizzazione dev’essere attivo (in Windows 2003 non lo è di defualt) e nel sistema dev’essere installato Internet Information Services. Microsoft considera il rischio legato a questo falla di livello moderato in Windows 2000 e XP e basso in Windows Server 2003.

Microsoft ha anche ripubblicato due precedenti bollettini , l’ MS06-042 e l’ MS06-040 : nel primo caso l’azienda ha corretto una nuova variante di una delle vulnerabilità già corrette, nel secondo caso ha risolto un problema di memoria causato in certe circostanze dall’update.

Molti esperti di sicurezza si aspettavano che questa tornata mensile di patch includesse anche la correzione per la recente falla zero-day di Word 2000 , ma così non è stato. Va detto che questa version di Word risale al 1999 e, ad oggi, è ormai utilizzata da una piccola minoranza di persone.

Secondo McAfee, quest’anno Microsoft ha già rilasciato un numero di patch critiche superiore a quanto fatto negli ultimi due anni: questo, secondo alcuni esperti, va anche ricercato nel crescente interesse di cracker e autori di virus a cercare e sfruttare falle in applicazioni e componenti di Windows un tempo ignorati.